《一级分行互联网接入平台选型方案建议书.doc》由会员分享,可在线阅读,更多相关《一级分行互联网接入平台选型方案建议书.doc(24页珍藏版)》请在三一办公上搜索。
1、建议书一级分行互联网接入平台目 录目 录I1需求分析11.1接入平台的现状11.2网络建设目标12接入方案设计22.1一级分行接入平台的设计目标22.2接入方案的架构设计原则22.3产品选型的基本原则22.4接入平台的总体网络架构32.5方案拓扑图:42.6方案策略说明:42.7选型部署说明:53方案特点64产品说明:74.1负载均衡器74.2外层防火墙:84.3特性与优势84.4内层防火墙:94.5IDS入侵检测:114.6漏洞扫描:114.7防毒墙:124.8代理服务器:144.9Blue Coat高速缓存技术155综合管理平台185.1系统功能195.2功能特点215.3系统部署215.
2、4产品型号221 需求分析1.1 接入平台的现状目前,各一级分行及其下属的分支机构已存在一些互联网的接入点,这些接入点为各级机构利用互联网获取信息,促进业务发展起到了较好的作用,但是也应看到,全行互联网的接入点过于分散,技术实现不规范,存在的问题较多。具体表现如下:1. 接入点多且分散,不符合总行网络规划要求。根据总行网络规划,互联网接入平台只部署在总行和各一级分行。各一级分行的互联网接入平台,负担一级分行及其所辖机构的上网流量。目前,全行的互联网接入点非常分散,各一级分行、部分二级分行,甚至一些支行都有单独的互联网接入。这种分散接入的方式,不符合总行网络规划要求,没有有效地利用资源。2. 实
3、现技术不统一、不规范,安全管理困难,存在安全隐患。一些一级分行根据业务和管理的需求,设置了互联网出口,总行对此也制定了相关网络安全规范,但各行落实情况不一,接入技术上存在不规范的地方,接入的方式比较复杂。一方面不便实现集中统一的安全管理,另一方面给银行的网络带来严重的安全隐患。3. 安全强度不够,可靠性、稳定性、可用性不高。由于网络技术的迅速发展,原有的一些防御手段已显不足,加上设备老化、性能不够等因素,网络安全风险不断增多,大多数互联网接入点存在安全强度不够的问题,大大降低了全行网络的安全水平。此外,由于没有采用防病毒、漏洞扫描、缓存等机制,使得互联网的使用效率不高,效果不理想,系统可靠性和
4、稳定性需要增强。1.2 网络建设目标接入互联网平台的部署从全行网络体系出发、从业务安全角度和节约广域网带宽资源的角度出发,采用接入互联网平台分布式部署方式;在一级分行建立与总行互联网接入平台相对独立的互联网接入平台,满足一级分行及其下属机构访问互联网的需求。这样避免了互联网出口过于分散简陋造成的安全漏洞和系统的不稳定,也避免了统一使用总行互联网出口对骨干网业务流量的冲击和带宽资源的浪费。各一级分行分别设置代理服务器负责辖区内访问互联网的管理、控制、安全以及缓存。一级分行(包括所辖的下属机构)的用户通过本区域的代理服务。2 接入方案设计2.1 一级分行接入平台的设计目标一级分行互联网接入平台建设
5、的主要内容是建立一级分行的安全、可靠、高效的互联网访问平台,配合建立以一级分行为单位的互联网接入平台网管系统,保障相关业务和管理系统的7*24小时不间断运行,实现对互联网资源安全高效的利用。2.2 接入方案的架构设计原则 1. 一致性原则必须严格按照总行的技术规范和网络安全标准制定。2. 安全性原则采用足够的安全措施保障互联网接入平台的安全,对互联网公开发布的信息,应采取安全措施保障信息不被篡改,考虑身份认证、访问控制、数据完整性和审计等安全指标。3. 层次性原则互联网接入平台采用多层次安全防御原理,在互联网区域、DMZ区域、内部企业网区域通过划分不同安全等级的区域,设置异构防火墙网关等网络安
6、全产品,多层次拦截和防护降低来自互联网安全威胁,保护企业内部网络的安全。4. 实用性原则根据当前互联网面临的安全风险和企业的网络安全需求设计安全方案,充分满足当前需要,充分利用现有资源,充分利用现有的网络安全设备和管理软件,利用现有的AAA软件、用户管理设备和网络管理系统,尽量降低建设成本。5. 可扩展性原则在各种不安全因素的网络和应用环境中,建立一定时期内相对安全稳定的互联网接入平台系统;整个系统的安全策略部署可以随着系统的变化、发展而变化、发展的,同时具有长期的有效性;虽然不同时期网络安全策略可能不同,但安全体系能够随着网络的扩展和安全策略的变化而保持相对的稳定并具有灵活性。6. 可管理性
7、原则整个互联网接入平台应当具有可管理性,防火墙产品、入侵检测产品、漏洞扫描等网络安全设备应提供方便、安全的管理特性,入侵检测特征库、病毒库等具备实时、在线的更新。采用统一的网络管理平台,实现对安全设备和网络各层应用的管理。2.3 产品选型的基本原则1) 满足互联网接入需求,可靠性、安全性高。2) 符合规范中技术架构的要求。3) 性价比高。4) 可扩展性高,可有效保护投资。5) 可操作性强,易于网络人员维护。6) 在市场上有一定知名度。2.4 接入平台的总体网络架构2.5 方案拓扑图:2.6 方案策略说明:1) 采用两层防火墙和多种访问控制、安全监控措施,建立非军事区(DMZ)接入互联网,隔离内
8、部网。2) 在外层防火墙做NAT转换和门户网站设备的静态地址映射。3) 内外层防火墙、内网区采用缺省路由和静态路由。4) 代理服务器管理用户对互联网的访问路径:代理服务器内层防火墙 DMZ外层防火墙LinkproofISP外部访问门户网站:经过ISP 边界路由器Linkproof外层防火墙DMZ5) 在非军事区部署基于网络的实时入侵检测系统。6) 在非军事区部署硬件防病毒网关。7) 部署漏洞扫描系统,检查系统可能存在的网络安全漏洞。2.7 选型部署说明:考虑到双链路的负载均衡, 我们建议部署LinkProof,LinkProof是专业负载均衡厂商Radware公司的链路流量负载均衡器,可以实现
9、对多条internet接入链路(比如10条)的负载均衡,可以同时实现outbound流量(内部办公用户访问internet)和inbound流量(internet用户访问内部服务器)双向的负载均衡。同时使用Radware专利技术动态就近性来保证进出的双向流量的智能的动态的就近性选择,大大提高用户访问的服务质量和访问效率。优化的链路提供透明的流量重定向。从而使路由变得简单而高效。这样也就避免了在不同ISP之间进行复杂的协调。另外,LinkProof使用Radware专有的Smart NAT (智能网络地址转换)技术以保证在网络之间进行的不中断的分组传递。 外层防火墙区部署Juniper Nets
10、creen 208的防火墙,主要执行抵御DOS攻击,对来自外网的访问进行访问控制和细致的过滤功能,隔离互联网和DMZ,并且提供到VPN移动办公平台的接口。 最大吞吐量:550M 安全过滤带宽(MB):200 最多会话数: 128,000 ,VPN:1000条 这样的处理能力足够满足当前网络的安全控制要求。对IP包过滤,仅允许从互联网到DMZ公共服务器的访问和经由内层防火墙到互联网访问的IP包进出,从安全的角度出发,连接防火墙内端口和外端口采用单独的交换机,避免采用同一台交换机上划分不同VLAN分别连接防火墙内外端口的方式造成安全漏洞,外层防火墙作为NAT服务器, 实现地址转换,隐藏DMZ及内部
11、网络拓扑结构。由于DMZ区的设备与外网的通讯较多,过多的安全措施会降低通讯效率,所以DMZ 设置在外层防火墙和内层防火墙之间,这里部署启明星辰的天阗IDS和天镜漏洞扫描系统,在DMZ交换机上部署一台天阗NS500入侵检测探测引擎,同时,天阗NS500具有双监听口,建议将另外一个监听口与内网交换机的镜像端口相连,对内网区相互之间的访问进行实时监测。在DMZ交换机及内网交换机上部署分布版天镜脆弱性扫描与分析系统扫描引擎,通过天阗入侵检测系统的控制中心进行同台管理,直接输入目标主机的IP地址,对其网络系统的漏洞进行扫描. 由于天阗入侵检测系统与天镜脆弱性扫描与分析系统(分布版)支持同台管理,因此在网
12、络内部(DMZ)部署天阗NS500控制中心,作为天阗入侵检测系统与天镜脆弱性扫描与分析系统的控制中心。对天阗NS500的探测引擎管理的同时,对天镜脆弱性扫描与分析系统进行管理,从而实现对全网内天阗入侵检测系统与天镜脆弱性扫描与分析系统的统一管理。这样一来能对整个网络能够实时准确捕捉到入侵,能够检测出系统管理员及内部用户的误操作,发现入侵能够及时作出响应并在审计日志作详细记录,查找系统网络可能存在的安全漏洞、配置问题并给出报告和修改建议。在DMZ网关处部署Symantec Gateway Security 5660的硬件防毒墙,HTTP 28M/秒,140000封/小时的处理能力,对SMTP、H
13、TTP、FTP和POP3等通讯进行扫描,从而保护企业内部网避免各类病毒、蠕虫攻击、木马和垃圾邮件的干扰。在内层区部署天融信4000的百兆防火墙,用来隔离DMZ和内部网,其百万以上的并发连接处理能力,充分保障网络访问需求,从而更好的控制内层区的访问。同时部署BlueCoat安全代理服务器,作为企业内部访问互连网的接入平台,代理内网用户上网,并提供缓存加速功能,因此内层防火墙支持代理服务器从内部网到互联网和DMZ的单向访问,保障内网安全。3 方案特点1. 技术先进,性能优越采用业内领先厂商的先进技术,充分发挥各个产品在自己领域中的领先性能,网络性能最佳,在国内网络建设中的居于领先地位。2. 带宽利
14、用率高 从防火墙,负载均衡器的选型上,都考虑到对网络性能的影响,这些设备上都可实现针对不同协议的排队、优先级、压缩等功能,充分有效的利用带宽。3. 可靠性高双链路的负载均衡,DMZ区的防毒墙网关,及IDS全网分布式监控,保障了整个网络的正常通讯。4. 安全性高,保证数据安全性关键设备本身具备抗攻击的功能,同时加上内外层防火墙过滤,防止非法用户对关键数据的破坏。5. 可升级性、可扩展性强模块化设备,随时可以添加新功能用来提高性能,DMZ区和内网区的关键设备均留有扩展端口, 整个网络都易于升级。6. 可管理性的网络关键设备都自带有多种管理方式,不但提高了网络的可管理性、减轻网管人员的负担、减少网络
15、管理上的费用,而且对于网络性能分析、故障诊断有很大的帮助。4 产品说明:4.1 负载均衡器Radware公司的链路流量管理应用交换机(也称作链路流量负载均衡器)LinkProof Application Switch,可对公司接入Internet的多条链路进行流量管理,是为具有多个Internet接入链路的网络提供综合的、易于使用的基于内容的流量管理解决方案。目前日益增多的机构,如电子商务公司、二级ISP 和企业为了保证公司各个部门之间、供应商和客户之间连续的Internet访问,都逐步采用多个Internet接入链路(多归路)接入Internet。1. INTERNET 链路流量管理 Lin
16、kProof专门为满足多归路网络的特殊要求而设计,Radware优化的内容路由技术能够保证以最快的速度将内容传递给您的用户。LinkProof在保证网络完全可用的同时还会根据网络需求的增长提供可扩展的解决方案。对于在其重要的商业应用中需要保证可靠性的多归路网络,它提供了创新的、完整的基于内容的流量管理解决方案。 2. 最快的内容传递 LinkProof 特有的即将获得专利的优化的内容路由技术能够确保通过最佳链路传递特定内容。在决定哪条链路能够为特定的内容提供最佳性能时,LinkProof会综合考虑与请求内容的网络就近性,链路的实时负载与链路的成本。因此,最终用户将充分享到经过优化的服务和极快的
17、响应时间。 3. 保证不中断的INTERNET访问 LinkProof连接监视每个Internet连接的状态。它通过定时检测网络内部和外部节点的状态来检查每个路由器接入Internet的路径。LinkProof还自动检测各种故障,如链路、路由器、DNS服务器和其它故障。通过检测可以确保只使用那些高效运转的接入链路。可以安装两台 LinkProof设备实现冗余配置,从而保证即使主用设备发生故障的情况下也可以保证不中断的Internet链路流量管理。4. 具有最大限度的可扩展性 增加新的链路和路由器非常简单,只要求做很少的配置工作,并且不需要对网络进行大的改动。LinkProof对所使用的ISP、
18、链路或路由器是完全透明的,您可以根据需要灵活扩充多归路网络。 5. 降低运行成本和多链路网络解决方案的复杂性 配置与多个ISP的冗余Internet连接需要使用复杂的路由协议和聘请高级技术人员来维护网络。而且对于无法预知的流量模式所产生的问题它也不能提供丝毫帮助。LinkProof 无需用户配置就可以利用优化的链路提供透明的流量重定向。从而使路由变得简单而高效。这样也就避免了在不同ISP之间进行复杂的协调。另外,LinkProof使用Radware专有的Smart NAT (智能网络地址转换)技术以保证在网络之间进行的不中断的分组传递。选型:LinkProof Application Swit
19、ch I RISC处理器:MPC750(Power PC 266MHz) 背板速度:9.6Gbps 10/100兆以太网端口:8 千兆以太网端口:2 L2交换:线速 RAM:64M(128M) VLAN:64 VI:512/3000 IP 路由表数:128,000 IP 路由接口:2,000 并发客户:500,000 同时会话数:无限制 路由协议:OSPF,RIP,RIP2 4.2 外层防火墙:选用Netscreen 208防火墙Juniper网络公司NetScreen-200系列包括两款企业网络产品:带4个10/100接口的NetScreen-204以及带8个10/100接口的NetScre
20、en-208。这两种产品都是目前市场上功能最全面的安全产品,易于集成到多种不同环境中,如大中型企业网络、办事处、电子商务站点、数据中心和运营商基础设施等。NetScreen-200系列产品可配备4个或8个自感10/100 Base-T以太网端口,从而使其能够提供线速防火墙功能(550 Mbps)。即便是3DES和AES加密等计算最密集的应用,也能在这些产品上以200 Mbps以上的速率运行。除了物理接口密度外,NetScreen-200系列还可提供虚拟化功能选项,包括VLAN支持、额外的定制安全区及虚拟路由器等。4.3 特性与优势NetScreen-208设备的主要特性和优势如下:1) 集成解
21、决方案,提供安全性优化的硬件、操作系统和应用 2) 高性能平台,提供卓越的性价比和特性 3) 全面的高可用性解决方案,可在一秒内实现接口间或设备间的故障切换 4) 可定制的安全区,能够提高接口密度,无需增加硬件开销 5) 集成的深层检测防火墙可以逐策略提供应用层攻击防护,以保护互联网协议安全 6) 冗余VPN网关,允许在丢失VPN连接时定义备份隧道,从而提高VPN网络的冗余级别 7) 在每个接口上提供防火墙攻击防护,保护内外部网络的安全 8) 透明模式,允许将设备用作第2层IP安全网桥,但只需对现有网络进行最少的修改 9) 通过图形Web UI、CLI或NetScreen-Security M
22、anager集中管理系统进行管理 10) 基于策略的管理,用于进行集中的端到端生命周期管理 技术规格高级特性/功能NetScreen-208 Advanced接口数8个 10/100可信接口中的最多IP地址数无限最大吞吐量550M 防火墙 ; 200M 3DES VPN最多会话数128,000最多VPN隧道数1000最多策略数4000最多虚拟LAN数默认设置为32个,最多可增加64个最多安全区数默认设置为8个,最多可增加10个最多虚拟路由器数默认设置为3个,最多可增加5个支持的路由协议OSPF, BGP, RIPv1/v2支持的高可用性模式主用/备用;主用/主用主用/主用,全网状IPS(深层检
23、测防火墙)是集成/ 重新定向Web过滤否 / 是4.4 内层防火墙:选用天融信NGFW4000大中型企业防火墙,网络吞吐量100M ,最大并发连接数 60-160万。网络卫士防火墙采用先进的核检测技术,突破了芯片设计、网络通信、安全防御及内容分析等诸多难点,实时进行网络行为、内容和状态分析,在网络边界布署应用防护措施,确保企业网络安全,而不会影响网络性能。网络卫士防火墙系统采用专有的易于管理的平台,包括了全套的安全服务防火墙、VPN、入侵检测/阻断和流量控制,同时还具有高效的应用层服务,如反病毒、内容过滤等功能。NGFW4000 系列是网络卫士系列防火墙的中端产品,是一款成熟的广受市场认同的主
24、流产品,具有访问控制、内容过滤、防病毒、NAT、IPSEC VPN、SSL VPN、带宽管理、负载均衡、双机热备等多种功能,广泛支持路由、多播、生成树、VLAN、DHCP等协议,适用于网络结构复杂、应用丰富的政府、军工、学校、中型企业等网络环境。1. 稳定可靠NGFW4000系列产品吸收了天融信多年来在防火墙领域的设计和制作经验,硬件性能稳定可靠,软件功能丰富,网络适应能力强,是一款成熟的广受市场认同的主流产品。该系列产品上市以来广泛应用于政府机构、大中型企业、金融、学校等网络环境,并受到众多用户欢迎,市场占有量巨大,是名副其实的经过市场检验的高稳定高可靠防火墙产品。2. 卓越的网络及应用环境
25、适应能力支持众多网络通信协议和应用协议,如VLAN、ADSL、PPP、ISL、802.1Q、Spanning tree、IPSEC、H.323、MMS、RTSP、ORACLE SQLNET、PPOE、MS RPC等协议,适用网络的范围更加广泛,保证了用户的网络应用。同时,方便用户实施对VOIP、视频会议、VOD点播及数据库等应用的使用和控制。3. 多级过滤的立体访问控制采用了多级过滤措施,以基于OS 内核的核检测技术为核心,提供从链路层到应用层的全面安全控制。在MAC层提供基于MAC地址的过滤控制能力,同时支持对各种二层协议的过滤功能;在网络层和传输层提供基于状态检测的分组过滤,可以根据网络地
26、址、网络协议以及TCP 、UDP 端口进行过滤,并进行完整的协议状态分析;在应用层通过深度内容检测机制,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制;同时还直接支持丰富的第三方认证,提供用户级的认证和授权控制。网络卫士系列防火墙的多级过滤形成了立体的、全面的访问控制机制,实现了全方位的安全控制。4. 安全高效的TOS操作系统具有完全自主知识产权的TOS安全操作系统,采用全模块化设计,使用中间层理念,减少了系统对硬件的依赖基本性能:并发连接数1000000 网络吞吐量100Mpps Mpps安全过滤带宽100MB MB用户数限制无用户数限制 入侵检测
27、Dos、DDoS 管理SNMP 安全标准UL 1950,EN 41003,AS/NZS 3260,AS/NZS 3548 Class A,CSA Class A,FCC Class A,EN 60555-2,VCCI (ClassII ) 控制端口RS-232 4.5 IDS入侵检测:采用启明星辰的天阗NS500,双路检测,带宽可以达到200M.天阗网络入侵检测系统采用了新一代的入侵检测技术,包括基于状态的协议分析技术、规范的入侵特征描述语言、准确的特征分析和提取、标准的安全信息知识库,以先进的体系结构配合高性能的专用硬件设备,能够准确地识别来自网络外部或内部的多种攻击行为,实时报警和记录入侵
28、信息,具有多样化的响应方式,产生适合不同人员的综合入侵分析报告,可以最大程度地为网络系统提供安全保障。此外,它还可以与漏洞扫描、防火墙、交换机紧密联动,形成以主动检测为核心的动态防御体系。4.6 漏洞扫描:天镜脆弱性扫描与管理系统是启明星辰信息技术有限公司自主研发的基于网络的安全性能评估分析系统,它采用实践性的方法扫描分析网络系统,综合检测网络系统中存在的弱点和漏洞,并以报表的方式提供给用户,适时提出修补方法和安全实施策略,天镜脆弱性扫描与管理系统内含基于国际标准建立的安全漏洞库,并通过网络升级与国际最新标准保持同步。天镜脆弱性扫描与分析系统具备以下性能特点:l 可以动态地分析目标系统的安全脆
29、弱性根据不同的对象类型,自动寻找匹配的扫描策略进行下一步的分析扫描。l 灵活的策略配置系统内置强、中、弱三种扫描策略,用户也可以根据需要自定义扫描策略并进行储存,就用户所关心的项目进行重点检测;可按照特定的需求配置多种扫描策略和扫描参数,实现不同内容、不同级别、不同程度、不同层次的扫描。 l 多种形式、人性化的扫描报表系统对于被检测主机的漏洞危险级别利用红、黄、绿分别对高、中、低风险进行标示,同时对于被选中的主机检测信息进行突出显示,方便管理员的查询管理全面详细的分析报告能力;可根据用户的不同需求提供不同层次的报告,并提供安全补丁供应商的热连接,快速及时的修补漏洞。l 实用的模拟攻击工具系统提
30、供用于测试的模拟攻击工具,较好反映了黑客实际攻击的必经之路,同时对被测试系统的测试力度可控,不会为系统带来危害。l 合理的结构化设计、模块的继承性,使得系统具有很大的可扩展空间l 全自动、大规模的扫描任务每次最大可扫描多达255台主机,扫描任务一经启动,无需人工干预;l 多线程扫描保证了扫描任务的高效性和稳定性;l 定时扫描机制保证充分利用网络空闲间隙进行网络安全状况评估;l 丰富的漏洞检查列表共计32大类800多种漏洞检测,并跟进最新的漏洞,将其加入到漏洞库中,大大减少用户系统中的隐患;l 分级、灵活的预定义报告扫描结果可以生成三种不同类型的报告,供领导、技术主管、技术员等不同级别的人审阅;
31、l 远程在线升级远程下载升级模块,自动完成升级过程l 详尽的安全解决方案帮助用户在了解网络安全状况的情况下得到详尽可行的解决措施。4.7 防毒墙:选用Symantec Gateway Security 5640, 该系列是新型的网关安全设备,作为业界功能最全面的企业网关安全设备,它将全封包检测防火墙、基于协议异常和基于特征的入侵防御及入侵检测引擎、著名的病毒防护、基于URL的内容过滤、反垃圾邮件以及符合 IPSec和SSL标准的VPN技术无缝地集成在一起。Symantec Gateway Security 5600 系列对最恶意的互联网安全威胁也能提供最大程度的防护,其“即插即用”简易配置功能
32、使得管理员在30分钟就可以完成配置工作,其内置HA/LB功能可轻松实现扩展,总之,Symantec Gateway Security 5600 系列为企业Internet和Intranet安全提供最大安全的、可管理的和可扩展的安全解决方案。1. 病毒防护Symantec Gateway Security 5640中集成了著名的赛门铁克病毒扫描引擎,对需要扫描的流量直接做到“盒中(On-Box)” 扫描,无需调用任何外接的扫描服务程序,因此处理效率很高。集成其中的赛门铁克病毒扫描引擎采用了大量屡获国际性大奖的赛门铁克的防病毒独有技术。例如:1) Bloodhound(侦探)启发式扫描技术2) 神
33、经网络技术检测和修复引导型未知病毒技术3) 宏病毒自动分析修复技术4) Striker32(打击)检测处理多态病毒技术5) NAVEX模块化升级技术6) Symantec Gateway Security 5640在网关位置主要针对HTTP、SMTP、POP3和FTP数据流进行病毒处理。因为这些数据流几乎占了企业数据流总量的80以上,而且这几种数据流也是病毒传播的主要载体。当然,用户可以在Symantec Gateway Security 5600中指定这四种数据流中的哪些文件类型需要做病毒扫描,而哪些类型不需要做病毒扫描,默认情况是“除了排除列表中所列的类型文件不扫描,其他类型的文件都要扫描
34、”。对于SMTP数据流,Symantec Gateway Security 5640的防病毒功能更可以提供细化的控制处理,例如对最大邮件整体大小、最大邮件附件大小、邮件附件名称等等。而病毒扫描发现病毒后的后续响应可以选择“修复感染病毒的文件”或者“删除感染病毒的文件”。Symantec Gateway Security 5640内置了LiveUpdate技术模块,通过LiveUpdate技术可以手动执行或者自动调度执行病毒定义码的升级,由于使用了NAVEX模块化升级技术,每次LiveUpdate执行时,能够同时升级病毒定义码和病毒扫描引擎。这样,大大简化了用户的防病毒维护工作量,使得用户可轻松
35、保持最新最强的病毒防护能力。2. 内容过滤Symantec Gateway Security 5640提供可选择的内容过滤功能。基于一些重要的原因,内容过滤功能成了网关安全的一种需要,例如:内容过滤可以节约网络带宽、内容过滤可以避免员工访问危险的网站、内容过滤可以保障机密信息的安全等等。Symantec Gateway Security 5640的内容过滤功能分为动态和静态内容过滤。Symantec Gateway Security 5640提供WEB站点分类,用户可以根据这些分类进行有针对性的允许或限制访问,从而达到内容过滤效果,例如在上班时间限制访问在线游戏类WEB站点,而这些分类中具体的
36、WEB站点名单则是以Liveupdate自动方式从赛门铁克不断获得更新。这种功能称为动态内容过滤。同时,Symantec Gateway Security 5640提供用户可自定义的静态内容过滤机制,可以基于以下条件进行手工指定来实现内容过滤:1) URL地址2) MI ME类型3) 文件扩展名4) 新闻组5) 新闻组分类Symantec Gateway Security 5640还提供反垃圾邮件功能。近年来,垃圾邮件是一个日益突出的安全问题。垃圾邮件是指不请自来的邮件,轻的说它是让人烦的东西;重的说它会消耗网络带宽和服务器资源并传播不良甚至攻击性的内容而造成网络用户的重大损失。首先,Syma
37、ntec Gateway Security 5640可以根据已知的垃圾邮件发送者黑名单进行发送者检查,一旦发送来自黑名单上的来源立即采取拒绝操作。其次,Symantec Gateway Security 5640的SMTP协议安全代理模块具备内置的深入的SMTP控制功能,例如,SMTP命令检查、ESMTP命令检查、硬或软接收限制、畸形邮件头处理等等。通过这些强制控制可以限制许多潜在垃圾邮件的进入。最后,通过邮件控制高级选项也能够迅速的达到反垃圾邮件的效果。邮件控制高级选项包括了:1) 邮件大小2) 邮件附件大小3) 邮件附件扩展名4) 邮件主题5) 邮件正文信息适当的指定这些高级选项,直接对邮
38、件的这些主要属性进行检查,对蠕虫或混合威胁爆发时发出的大量有害垃圾邮件特别有效果。选型:5640HTTP(ONLY):20M /秒SMTP(ONLY):108,000封/秒SGS 5600 Series562056405660CPU2.8 GHz3.2 Ghz3.6 GhzMemory1 GB2 GB4 GBDisk1 x 80 GB 1x160 GB std, 1x160 GB optional2x160 GB stdPorts6 x GigE (2 fast)8 x GigE (3 fast)10 x GigE (all fast) ( 4 SFPs)RAID 1NoOptional wi
39、th second diskYes, standardEncryption AcceleratorYes, AES and 3DESYes, AES and 3DESYes, AES and 3DESChassis1U2U2USecurity Functions集成: 全封包检测防火墙, VPN (IPsec & SSL), 网关防病毒, 入侵防御, 入侵检测, 内容过滤, 防垃圾邮件 建议最多节点数50025005000最大吞吐量600 Mbps1.4 Gbps3.0 Gbps并发连接数200,000250,000320,000网卡接口6 10/100/10008 10/100/100010
40、 10/100/1000(6 10/100/1000 std and 4 optional copper, MM fiber, or SM fiber SFPs) 可替换部件 (FRUs) N/ADisks, Power Supplies, and Chassis Cooling FanDisks, Power Supplies, and Chassis Cooling FanHigh Availability/Load Balancing (HA/LB)(A/A-Active/Active; A/P-Active/Passive, Load Balancing)4.8 代理服务器:采用Blu
41、eCoat 代理/缓存/安全/加速设备 800-1Blue Coat专注于提供互联网安全代理专用设备来控制用户的Web访问。Blue Coat ProxySG专用 设备在不影响网络性能的前提下,集成了先进的代理功能和安全服务,如内容过滤、即时消息控制 、Web病毒扫描和P2P文件共享应用控制。Blue Coat目前在全球拥有超过3000个用户,总发货数超过 17000台,已被许多世界上最具影响力的组织和机构所信任,来确保Web环境的安全高效。ProxySG专用设备针对互联网内容特性而设计的操作系统,以及多向互联网加速技术,提供了对Web内容的强大缓存能力,是业界最强的Web内容缓存设备。通过强
42、大的访问策略控制技术,对各种“应用级威胁”进行防御,从而保障员工互联网访问的效率和速度。同时ProxySG运行的SGOS操作系统还具有更多的关键能力包括:l 简便的管理:Blue Coat Systems产品设计为在数分钟内就可安装,几乎没有日常管理的工作,它们是自适应、能自愈的专用设备。其它厂商的解决方案往往要求定期的维护和停机,Blue Coat Systems提供的是使用简便的真正的专用设备。l 高可靠性和可用性Blue Coat Systems专用设备为复杂的网络要求而设计,具有极高的可靠性;当设备意外失效时,实现了“fast restart”功能,在数秒内启动,无需人工干预,没有能感
43、觉到的服务丢失现象,设备的自动提示向管理员发出警告。l 维护简单在现存网络体系中使用专用设备的首要目的,就是减轻维护服务器和防火墙带来的“头疼”问题。Blue Coat Systems专用设备可以通过命令行或浏览器界面进行远程管理。l Web内容的安全控制SGOS是从最底层开发出的安全产品,具有高性能的操作信托,始终考虑的一个功能就是让Web内容快速、安全地通过整个网络。 4.9 Blue Coat高速缓存技术Blue Coat高速缓存内置于Blue Coat Systems公司互ProxySG专用设备的操作系统中,包含多项专利技术的操作系统,是业界唯一得到证明的、将内容快速而新鲜地传递给最终
44、用户的解决方案: l 快速Blue Coat产品以比其它竞争对手提供更快的Web页面传递速度而闻名。(参考:Tolly Group Report, The Blue Coat Security Gateway, August 2002)l 新鲜只有Blue Coat产品对传递给最终用户的内容的实际新鲜度进行测算和报告,并使用专用算法来确定内容新鲜度。Blue Coat Systems通过针对互联网延迟而设计的算法技术来改善互联网的服务质量(QoS),使用Blue Coat产品,网络管理员能够确信:当用户请求互联网上的内容时,他们能够获得最快的响应速度。1. PIPELINING:快速的内容抓取
45、当浏览器请求内容时,在浏览器和远端的Web服务器之间将有许多的往返通讯发生,这是因为一个Web页面通常由许多对象组成,而对于每个对象的获取都必须首先有一个TCP会话建立,然后进行HTTP “get”请求,如下图:这种串行的对象获取对于最终用户来说就意味着大量的延时,Blue Coat ProxySG设备的运用,将消除这种延迟的大部分;用户连接将终结在Blue Coat ProxySG设备,该设备运行SGOS,包含了针对延迟的算法;这些算法之一就是Pipeline抓取,该专利算法将打开尽可能多的到源服务器的TCP连接,并发地获取Web对象,这些对象将在浏览器请求它们时,被直接从专用设备快速地传递
46、到用户桌面系统。2. 自适应的刷新:快速、新鲜的内容由于在Web服务器上的内容在不断变化,Blue Coat ProxySG设备必须保持缓存内容的更新;对于Blue Coat专用设备在将内容从其存储传递给用户时,必须确信内容是新鲜的,那么,一个“Refresh Check”必须被发给源服务器;然而,为了快速地提供内容,那就不能等到用户请求时才实现“Refresh”操作。如果“Refresh”检查只在用户请求内容时进行,用户就必须忍受使得网络变慢的延时,Web页面的响应时间必然也得不到很大的改善。传递快速、新鲜的Web页面的唯一可行的方法是将“Refresh”操作与实际的用户访问分开处理;Blu
47、e Coat专用设备实现这个操作是通过另一个针对延迟的算法自适应的刷新算法;该专利算法根据Web对象的需要进行有选择地刷新,刷新操作与实际的用户请求是异步进行的。通过自适应的刷新算法,Blue Coat ProxySG专用设备自动与源服务器实现“新鲜度检查”,从而保证旧的内容被删除,并用新鲜的内容替代。例如,如果在首页中的对象,对于通过Blue Coat专用设备访问的用户群,是访问量很大的;Blue Coat SGOS将更新那些变化的对象(例如:“top story”对象),而不刷新那些不变化的对象(例如:“CNN logo”对象);这样保证当前内容被快速地传递给用户。并发抓取能够改善Web页面的第一次请求的响应,同时,动态刷新由于使用
